MAX знает, куда вы звоните и что устанавливаете. Исследователь вскрыл код мессенджера
Обратный инжиниринг APK мессенджера MAX показал, что приложение собирает значительно больше данных, чем ожидалось, и содержит скрытые механизмы, способные влиять на работу устройства и конфиденциальность без явного уведомления пользователя. Находки, сделанные в коде последней версии, касаются как фоновой отправки информации, так и потенциальных векторов удалённого контроля.
Первое, что бросается в глаза — встроенный трекер MyTracker от VK, который при каждом запуске пересылает на серверы vk-analytics.ru полный список установленных пользовательских приложений с указанием времени их инсталляции. При любом изменении состава программ отправляется не дельта, а весь список целиком. Вместе с этим модуль собирает признаки рут-доступа, показания гироскопа, магнитометра, датчика давления и приближения, формируя уникальный отпечаток устройства. Отдельный интерес вызывает работа с VPN в нескольких местах интерфейса MAX показывает требование отключить VPN, но логика глубже: сервер может принудительно поднять уровень ограничений, и без отключения VPN доступ к чатам и мини-приложениям полностью блокируется. При этом сам мессенджер через скрытый SDK связывается с шестью публичными IP-чекерами, определяет реальный адрес пользователя даже при активном сплит-туннеле и отправляет его вместе с идентификаторами на сторонний домен trace-flow.ru, отсутствующий в политике конфиденциальности.
Адресная книга телефона также отслеживается в реальном времени и MAX не только знает точное количество контактов и реагирует на любое изменение, но и отправляет хеши номеров людей, которые не зарегистрированы в мессенджере. Мини-приложения внутри MAX способны управлять NFC-чипом. В списке из более чем трёхсот серверных флагов присутствуют fake-chats,
